専用インスタンスのネットワーク要件
Webex Calling 専用インスタンスは Cisco Cloud 通話ポートフォリオの一部であり、Cisco Unified Communications Manager (CUCM) のコラボレーション テクノロジーを利用しています。 専用インスタンスでは、音声、ビデオ、メッセージング、モビリティのソリューションを、Cisco IP 電話、モバイル端末、専用インスタンスに安全に接続できるデスクトップ クライアントといった機能や利点と共に提供します。
この記事は、ネットワーク管理者、特に組織内で専用インスタンスを使用するファイアウォールとプロキシのセキュリティ管理者を対象にしています。 このドキュメントでは主に、専用インスタンスのソリューションのネットワーク要件とセキュリティについて説明します。これには、セキュアな物理アクセス、セキュアなネットワーク、セキュアなエンドポイント、セキュアな Cisco UC アプリケーションなどを提供する機能への階層的アプローチも含まれます。
セキュリティの概要: 階層的セキュリティ
専用インスタンスは、セキュリティを確保するために階層的なアプローチを使用します。 階層には次が含まれます。
物理アクセス
ネットワーク
エンドポイント
UC アプリケーション
次のセクションでは、専用インスタンス展開におけるセキュリティの階層について説明します。
物理セキュリティ
Equinix Meet-Me Room のロケーションと Cisco 専用インスタンス データ センター施設に物理セキュリティを提供することが重要です。 物理セキュリティが侵害されると、顧客のスイッチの電源をシャットダウンすることでサービスを中断させるなどの単純な攻撃を開始することができます。 攻撃者は物理的なアクセスを使用して、サーバー デバイスにアクセスしたり、パスワードをリセットしたり、スイッチへのアクセスを取得したりする可能性があります。 また、物理的なアクセスにより、中間者攻撃などの高度な攻撃が促進されます。だからこそ 2 番目のセキュリティ層であるネットワーク セキュリティが重要です。
セルフ暗号化ドライブは、UC アプリケーションをホストする専用インスタンス データ センターで使用されます。
一般的なセキュリティ対策について詳しくは、次の場所にあるドキュメントを参照してください。 https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
ネットワーク セキュリティ
パートナーは、すべてのネットワーク要素が (Equinix 経由で接続する) 専用インスタンス インフラストラクチャで保護されていることを確認する必要があります。 パートナーは、次のようなセキュリティのベスト プラクティスを確実に実行する責任を負います。
音声とデータ向けの別々の VLAN
ポートごとに許可される MAC アドレスの数を制限して CAM テーブル フラッディングを阻止するため、ポート セキュリティを有効にする
スプーフィングされた IP アドレスに対する IP ソースのガード
ダイナミック ARP インスペクション (DAI) は (GARP スプーフィングに対して) アドレス解決プロトコル (ARP) と Gratuitous ARP (GARP) 違反について検証する
802.1x 割り当てられた VLAN (電話は 802 をサポートする) 上のデバイスを認証するために、ネットワークアクセスを制限します1x。
音声パケットの適切なマーキングを目的とした Quality of Service (QoS) の設定
他のトラフィックをブロックするファイアウォール ポートの設定
エンドポイント セキュリティ
Cisco エンドポイントは、署名済みのファームウェア、セキュア ブート (選択モデル)、製造元がインストールした証明書 (MIC)、署名済みの構成ファイルなどのデフォルトのセキュリティ機能をサポートし、エンドポイントに特定のレベルのセキュリティを提供します。
また、パートナーや顧客は、次のような追加のセキュリティを有効にできます。
エクステンション モビリティなどのサービス向けに IP 電話サービスを暗号化する (HTTPS 経由)
Certificate Authority Proxy Function (CAPF) またはパブリック認証局 (CA) からローカルで有効な証明書 (Locally Significant Certificates、LSC) を発行する
構成ファイルを暗号化する
メディアとシグナリングを暗号化する
使用しない場合、これらの設定を無効にします: PC ポート、PC 音声 VLAN アクセス、Gratuitous ARP (GARP)、設定ボタン、SSH、コンソール
専用インスタンスにセキュリティ メカニズムを実装することで、電話と Unified CM サーバーの ID の盗難、データの改ざん、通話シグナリングまたはメディア ストリームの改ざんを防止します。
ネットワーク上の専用インスタンス:
認証済みの通信ストリームを確立、維持する
ファイルを電話に転送する前にデジタル署名を行う
Cisco Unified IP Phone 間のメディア ストリームと通話シグナリングを暗号化する
デフォルトのセキュリティ機能により、Cisco Unified IP Phone には、次の自動セキュリティ機能が提供されます。
電話構成ファイルの署名
電話設定ファイル暗号化のサポート
Tomcat およびその他の Web サービス (MIDlets) との HTTPS
Unified CM Release 8.0 以降では、これらのセキュリティ機能はデフォルトで提供され、Certificate Trust List (CTL) クライアントは実行されません。
ネットワーク内には多くの電話が存在し、IP 電話のメモリは限られているため、Cisco Unified CM は信頼検証サービス (TVS) を通してリモートの信頼ストアとして機能します。証明書信頼ストアを各電話に配置する必要はありません。 Cisco IP Phone は CTL または ITL ファイル経由で署名や証明書を検証できないため、TVS サーバーに連絡して検証を行います。 一元化された信頼ストアがあると、各 Cisco Unified IP Phone に信頼ストアを置くより管理が容易になります。
TVS を使用すると、Cisco Unified IP Phone では HTTPS 確立中に EM サービス、ディレクトリ、MIDlet などのアプリケーション サーバーを認証できるようになります。
初期信頼リスト (ITL) ファイルは最初のセキュリティに使用され、エンドポイントが Cisco Unified CM を信頼できるようになります。 ITL では、セキュリティ機能を明示的に有効化する必要はありません。 クラスターがインストールされると自動的に ITL ファイルが作成されます。 Unified CM Trivial ファイル転送プロトコル (TFTP) サーバーのプライベート キーが ITL ファイルへの署名に使用されます。
Cisco Unified CM クラスターまたはサーバーが非セキュア モードの場合、ITL ファイルはサポートされている各 Cisco IP Phone にダウンロードされます。 パートナーは CLI コマンド「admin:show itl」を使用して ITL ファイルのコンテンツを表示できます。
Cisco IP Phone は、次のタスクを実行するために ITL ファイルを必要とします。
構成ファイル暗号化のサポートの前提条件である CAPF と安全に通信する
構成ファイルの署名を認証する
TVS を使用して HTTPS 確立中に EM サービス、ディレクトリ、MIDlet などのアプリケーション サーバーを認証する
デバイス、ファイル、シグナリング認証は、パートナーまたは顧客が Cisco Certificate Trust List Client をインストールして設定するときに作成される Certificate Trust List (CTL) ファイルに依存します。
CTL ファイルには次のサーバーまたはセキュリティ トークンのエントリが含まれています。
システム管理者セキュリティ トークン (SAST)
同じサーバー上で実行している Cisco CallManager および Cisco TFTP サービス
Certificate Authority Proxy Function (CAPF)
TFTP サーバー
ASA ファイアウォール
CTL ファイルには、各サーバーのサーバー証明書、公開鍵、シリアル番号、署名、発行者名、サブジェクト名、サーバー機能、DNS 名、IP アドレスが含まれています。
CTL を使用した電話のセキュリティでは、次の機能が提供されます。
署名キーを使用した TFTP ダウンロード ファイル (構成、ロケール、呼び出しリストなど) の認証
署名キーを使用した TFTP 構成ファイルの暗号化
IP 電話用の暗号化通話シグナリング
IP 電話用の暗号化通話音声 (メディア)
専用インスタンスはエンドポイントの登録と通話処理を行います。 Cisco Unified CM とエンドポイント間のシグナリングは、Secure Skinny Client Control Protocol (SCCP) またはセッション開始プロトコル (SIP) に基づき、トランスポート レイヤー セキュリティ (TLS) を使用して暗号化できます。 エンドポイント間のメディアは、リアルタイム トランスポート プロトコル (RTP) に基づき、セキュア RTP (SRTP) を使用して暗号化されます。
Unified CM の混合モードを有効にすると、Cisco エンドポイント間のシグナリングおよびメディア トラフィックの暗号化が有効になります。
セキュアな UC アプリケーション
混合モードは、専用インスタンスでデフォルトでは有効になっていません。
専用インスタンスで混合モードを有効にすると、Cisco エンドポイント発着のシグナリングおよびメディア トラフィックの暗号化を実行する機能が有効になります。
Cisco Unified CM リリース 12.5(1) で、混合モードまたは CTL ではなく SIP OAuth に基づくシグナリングおよびメディアの暗号化を有効にする新しいオプションが、Jabber および Webex クライアントに追加されました。 したがって、Unified CM リリース 12.5(1)では、Jabber または Webex クライアントのシグナリングおよびメディアの暗号化を有効にするために SIP OAuth および SRTP を使用できます。 現時点で、Cisco IP Phone と他の Cisco エンドポイントでは、混合モードの有効化が引き続き必要です。 今後のリリースでは、7800/8800 エンドポイントで SIP OAuth のサポートを追加する計画があります。
Cisco Unity Connection は TLS ポートを通じて Unified CM に接続します。 デバイスのセキュリティ モードが非セキュアである場合、Cisco Unity Connection は SCCP ポートを通して Unified CM に接続します。
Unified CM ボイス メッセージング ポートのセキュリティ設定、および SCCP を実行している Cisco Unity デバイスまたは SCCP を実行している Cisco Unity Connection デバイスのセキュリティ設定のため、パートナーはポート用のセキュアなデバイス セキュリティ モードを選択できます。 認証済みのボイスメール ポートを選択すると、TLS 接続が開き、相互証明書の交換を使用してデバイスを認証します (各デバイスは他のデバイスの証明書を受け入れます)。 暗号化されたボイスメール ポートを選択すると、システムは最初にデバイスを認証し、デバイス間で暗号化されたボイス ストリームを送信します。
セキュリティ ボイス メッセージ ポートについて詳しくは、次を参照してください。 https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
SRST、トランク、ゲートウェイ、CUBE/SBC のセキュリティ
Cisco Unified Survivable Remote Site Telephony (SRST) 対応ゲートウェイでは、専用インスタンス上の Cisco Unified CM が通話を完了できない場合、制限付きの通話処理タスクを提供します。
セキュアな SRST 対応ゲートウェイには、自己署名証明書が含まれています。 パートナーが Unified CM 管理で SRST 構成タスクを実行した後、Unified CM は TLS 接続を使用して、SRST 対応ゲートウェイで証明書プロバイダー サービスを使用して認証します。 Unified CM は SRST 対応ゲートウェイから証明書を取得し、Unified CM データベースに証明書を追加します。
パートナーが Unified CM 管理の依存デバイスをリセットした後、TFTP サーバーは SRST 対応ゲートウェイ証明書を電話の cnf.xml ファイルに追加し、ファイルを電話に送信します。 セキュアな電話は TLS 接続を使用して、SRST 対応ゲートウェイと通信します。
アウトバウンド PSTN 通話または Cisco Unified Border Element (CUBE) を通じたトラバーサル向けに、Cisco Unified CM からゲートウェイに発信された通話に対しては、セキュアなトランクを有することが推奨されます。
SIP トランクは、シグナリングおよびメディアの両方でセキュアな通話をサポートできます。TLS はシグナリング暗号化を提供し、SRTP はメディア暗号化を提供します。
Cisco Unified CM と CUBE 間の通信のセキュリティ保護
Cisco Unified CM と CUBE 間の通信を安全に行う場合、パートナーまたは顧客は、自己署名証明書あるいは CA 署名証明書のどちらかを使用する必要があります。
自己署名証明書の場合:
CUBE および Cisco Unified CM が自己署名証明書を作成する
CUBE は証明書を Cisco Unified CM にエクスポートする
Cisco Unified CM は証明書を CUBE にエクスポートする
CA 署名入りの証明書の場合:
クライアントがキーペアを作成し、Certificate Signing Request (CSR) を認証局 (CA) に送信する
CA はプライベート キーを使用して署名し、ID 証明書を作成する
クライアントは信頼できる CA ルートおよびメディア証明書と ID 証明書のリストをインストールする
リモート エンドポイントのセキュリティ
Mobile and Remote Access (MRA) エンドポイントでは、シグナリングとメディアは常に、MRA エンドポイントと Expressway ノード間で暗号化されます。 MRA エンドポイントで Interactive Connectivity Establishment (ICE) プロトコルが使用される場合、MRA エンドポイントのシグナリングとメディアの暗号化が必要になります。 ただし、Expressway-C と内部 Unified CM サーバー、内部エンドポイント、その他の内部デバイス間のシグナリングおよびメディアの暗号化には、混合モードまたは SIP OAuth が必要です。
Cisco Expressway は、Unified CM 登録のセキュアなファイアウォール トラバーサルと回線側のサポートを提供します。 Unified CM は、モバイルおよびオンプレミスのエンドポイントの両方に通話制御を提供します。 シグナリングはリモート エンドポイントと Unified CM 間の Expressway ソリューションを通過します。 メディアは Expressway ソリューションを通過し、エンドポイント間で直接リレーされます。 すべてのメディアは、Expressway-C とモバイル エンドポイント間で暗号化されます。
MRA との互換性のあるソフト クライアントまたは固定エンドポイントの場合、MRA ソリューションでは Expressway と Unified CM が必要です。 ソリューションには、任意で IM and Presence Service と Unity Connection が含まれる可能性があります。
プロトコルの概要
以下の表は、Unified CM ソリューションで使用されるプロトコルと関連サービスを示します。
プロトコル |
セキュリティ |
サービス |
---|---|---|
SIP |
TLS |
セッションの確立: 登録、招待など。 |
HTTPS |
TLS |
ログオン、プロビジョニングまたは構成、ディレクトリ、ビジュアル ボイスメール |
メディア |
SRTP |
メディア: 音声、ビデオ、コンテンツ共有 |
XMPP |
TLS |
インスタント メッセージ、プレゼンス、フェデレーション |
MRA 統合について詳しくは、次を参照してください。 https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
構成オプション
専用インスタンスは、運用段階の設定を完全に管理することで、サービスのカスタマイズが可能な柔軟性をエンドユーザーに提供します。 その結果、パートナーはエンド ユーザーの環境において、専用インスタンス サービスの適切な設定に対するすべての責任を負います。 これには次が含まれますが、これらに限定されるものではありません。
セキュアまたは非セキュアな通話、SIP/sSIP、http/https などのセキュアまたは非セキュアなプロトコルを選択し、関連するリスクを理解すること。
専用インスタンスでセキュア SIP として設定されていないすべての MAC アドレスにおいて、攻撃者がその MAC アドレスを使用して SIP Register メッセージを送信し、SIP コールを実行できる場合、結果として発生した通信料金詐欺。 さらに、攻撃者は専用インスタンスに登録されているデバイスの MAC アドレスが分かっている場合、許可なく SIP デバイスまたはソフトウェアを専用インスタンスに登録できる。
Expressway-E 通話ポリシー、変換、検索ルールは、通信料金詐欺を防ぐよう構成する必要がある。 Expressway を使用した通信料金詐欺の防止について詳しくは、「コラボレーション SRND」の「Expressway C および Expressway-E のセキュリティ」セクションを参照。
ダイヤル プランは、ユーザーが許可された宛先のみと通話するよう設定する (国内または国際ダイヤルを禁止する、緊急通話を正しくルーティングするなど)。ダイヤル プランの使用における制限適用について詳しくは、「コラボレーション SRND」の「ダイヤル プラン」セクションを参照。
専用インスタンスでのセキュアな接続の証明書の要件
専用インスタンスでは、Cisco はパブリック認証局 (CA) を使用してドメインを提供し、UC アプリケーションの証明書に署名します。
専用インスタンス - ポート番号とプロトコル
以下の表には、専用インスタンスでサポートされるポートとプロトコルが記載されています。 それぞれの顧客に使用されるポートは、顧客のデプロイとソリューションによって異なります。 プロトコルは、顧客の設定 (SCCP または SIP)、既存のオンプレミス デバイス、各デプロイで使用するポートを決定するセキュリティ レベルに依存します。
専用インスタンス - 顧客ポート
顧客が利用可能なポート (顧客のプレミスと専用インスタンス間) を表 1 の「専用インスタンスの顧客ポート」に示します。 以下にリストされているポートはすべて、ピアリング リンクを通過する顧客トラフィック用です。
SNMP ポートは CER 機能についてのみサポートされます。他のサード パーティの監視ツールについてはサポートされていません。 |
その他のクラウド統合のために、5063 ~ 5080 の範囲のポートは Cisco により予約されます。パートナーまたは顧客管理者は、これらのポートを構成で使用しなけときます。 |
プロトコル |
TCP/UDP |
ソース |
移動先 |
ソースポート |
移動先ポート |
目的 |
---|---|---|---|---|---|---|
SSH |
TCP |
クライアント |
UC アプリケーション |
1023 より上 |
22 |
管理 |
LDAP |
TCP |
UC アプリケーション |
外部ディレクトリ |
1023 より上 |
389 |
顧客 LDAP へのディレクトリ同期 |
HTTPS |
TCP |
ブラウザー |
UC アプリケーション |
1023 より上 |
443 |
セルフケアと管理インターフェイスのためのウェブ アクセス |
LDAP (セキュア) |
TCP |
UC アプリケーション |
外部ディレクトリ |
1023 より上 |
636 |
顧客 LDAP へのディレクトリ同期 |
SCCP |
TCP |
エンドポイント |
Unified CM、CUCxn |
1023 より上 |
2000 |
コール シグナリング |
SCCP |
TCP |
Unified CM |
Unified CM、ゲートウェイ |
1023 より上 |
2000 |
コール シグナリング |
SCCP (セキュア) |
TCP |
エンドポイント |
Unified CM、CUCxn |
1023 より上 |
2443 |
コール シグナリング |
SCCP (セキュア) |
TCP |
Unified CM |
Unified CM、ゲートウェイ |
1023 より上 |
2443 |
コール シグナリング |
信頼検証 |
TCP |
エンドポイント |
Unified CM |
1023 より上 |
2445 |
信頼検証サービスをエンドポイントに提供 |
CTI |
TCP |
エンドポイント |
Unified CM |
1023 より上 |
2748 |
CTI アプリケーション (JTAPI/TSP) と CTIManager 間の接続 |
セキュアな CTI |
TCP |
エンドポイント |
Unified CM |
1023 より上 |
2749 |
CTI アプリケーション (JTAPI/TSP) と CTIManager 間のセキュアな接続 |
LDAP グローバル カタログ |
TCP |
UC アプリケーション |
外部ディレクトリ |
1023 より上 |
3268 |
顧客 LDAP へのディレクトリ同期 |
LDAP グローバル カタログ |
TCP |
UC アプリケーション |
外部ディレクトリ |
1023 より上 |
3269 |
顧客 LDAP へのディレクトリ同期 |
CAPF サービス |
TCP |
エンドポイント |
Unified CM |
1023 より上 |
3804 |
ローカルで有効な証明書 (LSC) を IP 電話に発行する Certificate Authority Proxy Function (CAPF) のリスニング ポート |
SIP |
TCP |
エンドポイント |
Unified CM、CUCxn |
1023 より上 |
5060 |
コール シグナリング |
SIP |
TCP |
Unified CM |
Unified CM、ゲートウェイ |
1023 より上 |
5060 |
コール シグナリング |
SIP (セキュア) |
TCP |
エンドポイント |
Unified CM |
1023 より上 |
5061 |
コール シグナリング |
SIP (セキュア) |
TCP |
Unified CM |
Unified CM、ゲートウェイ |
1023 より上 |
5061 |
コール シグナリング |
SIP (OAUTH) |
TCP |
エンドポイント |
Unified CM |
1023 より上 |
5090 |
コール シグナリング |
XMPP |
TCP |
Jabber クライアント |
Cisco IM&P |
1023 より上 |
5222 |
インスタント メッセージとプレゼンス |
HTTP |
TCP |
エンドポイント |
Unified CM |
1023 より上 |
6970 |
構成と画像をエンドポイントにダウンロードする |
HTTPS |
TCP |
エンドポイント |
Unified CM |
1023 より上 |
6971 |
構成と画像をエンドポイントにダウンロードする |
HTTPS |
TCP |
エンドポイント |
Unified CM |
1023 より上 |
6972 |
構成と画像をエンドポイントにダウンロードする |
HTTP |
TCP |
Jabber クライアント |
CUCxn |
1023 より上 |
7080 |
ボイスメール通知 |
HTTPS |
TCP |
Jabber クライアント |
CUCxn |
1023 より上 |
7443 |
セキュアなボイスメール通知 |
HTTPS |
TCP |
Unified CM |
Unified CM |
1023 より上 |
7501 |
証明書ベースの認証用のクラスター間検索サービス (ILS) で使用される |
HTTPS |
TCP |
Unified CM |
Unified CM |
1023 より上 |
7502 |
パスワード ベースの認証用の ILS で使用される |
IMAP |
TCP |
Jabber クライアント |
CUCxn |
1023 より上 |
7993 |
IMAP over TLS |
HTTPS |
TCP |
ブラウザー、エンドポイント |
UC アプリケーション |
1023 より上 |
8443 |
セルフケアと管理インターフェイス、UDS のためのウェブ アクセス |
HTTPS |
TCP |
プレミス |
Unified CM |
1023 より上 |
9443 |
認証済みの連絡先検索 |
セキュアな RTP/SRTP |
UDP |
Unified CM |
電話 |
16384~32767 * |
16384~32767 * |
メディア (音声) - 保留時の音楽、アナンシエーター、ソフトウェア会議ブリッジ (コール シグナリングに基づき開く) |
セキュアな RTP/SRTP |
UDP |
電話 |
Unified CM |
16384~32767 * |
16384~32767 * |
メディア (音声) - 保留時の音楽、アナンシエーター、ソフトウェア会議ブリッジ (コール シグナリングに基づき開く) |
ICMP |
ICMP |
エンドポイント |
UC アプリケーション |
該当なし |
該当なし |
Ping |
ICMP |
ICMP |
UC アプリケーション |
エンドポイント |
該当なし |
該当なし |
Ping |
* 一部の特殊なケースでは、さらに広い範囲が使用される場合があります。 |
専用インスタンス - OTT ポート
以下のポートは、顧客とパートナーがモバイルおよびリモート アクセス (MRA) セット アップ用に使用できます。
プロトコル |
TCP/UDP |
ソース |
移動先 |
ソースポート |
移動先ポート |
目的 |
---|---|---|---|---|---|---|
セキュアな SIP |
TCP |
エンドポイント |
Expressway-E |
1023 より上 |
5061 |
MRA 登録と通話のためのセキュアな SIP シグナリング |
セキュアな SIP |
TCP |
エンドポイント/サーバー |
Expressway-E |
1023 より上 |
5062 |
B2B 通話用のセキュアな SIP |
セキュアな RTP/RTCP |
UDP |
エンドポイント/サーバー |
Expressway-E |
1023 より上 |
36000-59999 |
MRA および B2B 通話用のセキュアなメディア |
HTTPS (セキュア) |
TLS |
クライアント |
Expressway-E |
1023 より上 |
8443 |
MRA 通話用の CUCM UDS および CUCxn REST |
XMLS |
TLS |
クライアント |
Expressway-E |
1023 より上 |
5222 |
IM & プレゼンス |
TURN |
UDP |
ICA クライアント |
Expressway-E |
1023 より上 |
3478 |
ICE/STUN/TURN ネゴシエーション |
セキュアな RTP/RTCP |
UPD |
ICA クライアント |
Expressway-E |
1023 より上 |
24000 ~ 29999 |
ICE フォールバック用の TURN メディア |
専用インスタンス - UCCX ポート
以下のポートは、顧客とパートナーが UCCX を構成するために使用できます。
プロトコル |
TCP/UDP |
ソース |
移動先 |
ソースポート |
移動先ポート |
目的 |
---|---|---|---|---|---|---|
SSH |
TCP |
クライアント |
UCCX |
1023 より上 |
22 |
SFTP と SSH |
Informix |
TCP |
クライアントまたはサーバー |
UCCX |
1023 より上 |
1504 |
Unified CCX データベース ポート |
SIP |
UDP および TCP |
SIP GW または MCRP サーバー |
UCCX |
1023 より上 |
5065 |
リモート GW および MCRP ノードへの通信 |
XMPP |
TCP |
クライアント |
UCCX |
1023 より上 |
5223 |
Finesse サーバーとカスタム サード パーティ アプリケーション間のセキュアな XMPP 接続 |
CVD |
TCP |
クライアント |
UCCX |
1023 より上 |
6999 |
CCX アプリケーション用エディター |
HTTPS |
TCP |
クライアント |
UCCX |
1023 より上 |
7443 |
Finesse サーバーとエージェントおよびスーパーバイザーのデスクトップ間の、HTTPS 経由通信用のセキュアな BOSH 接続 |
HTTP |
TCP |
クライアント |
UCCX |
1023 より上 |
8080 |
Socket.IO サーバーへのライブデータ レポート クライアント接続 |
HTTP |
TCP |
クライアント |
UCCX |
1023 より上 |
8081 |
Cisco Unified Intelligence Center ウェブ インターフェイスへのアクセスを試みるクライアント ブラウザー |
HTTP |
TCP |
クライアント |
UCCX |
1023 より上 |
8443 |
SOAP 経由の Admin GUI、RTMT、DB アクセス |
HTTPS |
TCP |
クライアント |
UCCX |
1023 より上 |
8444 |
Cisco Unified Intelligence Center ウェブ インターフェイス |
HTTPS |
TCP |
ブラウザーおよび REST クライアント |
UCCX |
1023 より上 |
8445 |
Finesse のセキュアなポート |
HTTPS |
TCP |
クライアント |
UCCX |
1023 より上 |
8447 |
HTTPS - Unified Intelligence Center オンライン ヘルプ |
HTTPS |
TCP |
クライアント |
UCCX |
1023 より上 |
8553 |
シングル サインオン (SSO) コンポーネントは、このインターフェイスにアクセスして Cisco IdS のオペレーティング ステータスを確認します。 |
HTTP |
TCP |
クライアント |
UCCX |
1023 より上 |
9080 |
HTTP トリガーまたはドキュメント/プロンプト/文法/ライブ データへのアクセスを試みるクライアント。 |
HTTPS |
TCP |
クライアント |
UCCX |
1023 より上 |
9443 |
HTTPS トリガーへのアクセスを試みるクライアントに応答するために使用されるセキュアなポート |
TCP |
TCP |
クライアント |
UCCX |
1023 より上 |
12014 |
ライブデータ レポート クライアントがSocket.IO サーバーに接続できるポート |
TCP |
TCP |
クライアント |
UCCX |
1023 より上 |
12015 |
ライブデータ レポート クライアントがSocket.IO サーバーに接続できるポート |
CTI |
TCP |
クライアント |
UCCX |
1023 より上 |
12028 |
CCX へのサードパーティ CTI クライアント |
RTP (メディア) |
TCP |
エンドポイント |
UCCX |
1023 より上 |
1023 より上 |
メディア ポートは、必要に応じて動的に開きます |
RTP (メディア) |
TCP |
クライアント |
エンドポイント |
1023 より上 |
1023 より上 |
メディア ポートは、必要に応じて動的に開きます |
クライアントのセキュリティ
SIP OAuth で Jabber および Webex を保護する
Jabber および Webex クライアントは、ローカルで有効な証明書 (LSC) ではなく Oauth トークンを使って認証されます。この認証は Certificate Authority Proxy Function (CAPF) の有効化 (MRA 用も含む) を必要としません。 混合モードを使用する、または使用しない SIP Oauth が、Cisco Unified CM 12.5(1)、Jabber 12.5、Expressway X12.5 に導入されました。
Cisco Unified CM 12.5 では、SIP REGISTER の単一の Transport Layer Security (TLS) + OAuth トークンを使用して LSC/CAPF なしの暗号化を有効にする、電話セキュリティ プロファイルの新しいオプションが加わります。 Expressway-C ノードは Administrative XML Web Service (AXL) API を使用して、証明書の SN/SAN について Cisco Unified CM に通知します。 Cisco Unified CM は相互 TLS 接続を確立する際に、この情報を使用して Expressway-C 証明書を検証します。
SIP OAuth は、エンドポイント証明書 (LSC) なしで、メディアとシグナリングの暗号化を有効にします。
Cisco Jabber は、TFTP サーバーへの HTTPS 接続経由でエフェメラル ポートとセキュア ポート 6971 および 6972 を使用し、構成ファイルをダウンロードします。 ポート 6970 は、HTTP 経由のダウンロード用の非セキュアなポートです。
SIP Oauth 構成に関する詳細: SIP Oauth モード。
DNS 要件
専用インスタンスについては、各地域のサービス用の FQDN が Cisco から提供されます。フォーマットは「<customer>.<region>.wxc-di.webex.com」で、たとえば「 xyz.amer.wxc-di.webex.com」のようになります。
「顧客」の値は、管理者から提供される初回セットアップ ウィザード (FTSW) の中で提供されています。 詳細については、「専用インスタンス サービスのアクティベーション」を参照してください。
この FQDN の DNS レコードは、専用インスタンスに接続されているオンプレミス デバイスをサポートするため、顧客の内部 DNS サーバーから解決できる必要があります。 解決を容易にするため、顧客は、専用インスタンス DNS サービスに接続された自社の DNS サーバーに、この FQDN 用に条件付きフォワーダーを設定する必要があります。 専用インスタンス DNS サービスは地域ごとのサービスで、専用インスタンスへのピアリング接続を使い到達できます。その際は、以下の表「専用インスタンス DNS サービス用 IP アドレス」に記載された IP アドレスを使用します。
地域/DC |
専用インスタンス DNS サービス用 IP アドレス | 条件付きフォワードの例 |
---|---|---|
アメリカ |
<customer>.amer.wxc-di.webex.com | |
サンノゼ (SJC) |
69.168.17.100 |
|
ダラス (DFW) |
69.168.17.228 |
|
欧州、中東、アフリカ |
<customer>.emea.wxc-di.webex.com |
|
ロンドン (LON) |
178.215.138.100 |
|
アムステルダム (AMS) |
178.215.138.228 |
|
APJC (アジア太平洋地域) |
<customer>.apjc.wxc-di.webex.com |
|
東京 (TOK) |
103.232.71.100 |
|
SIN |
103.232.71.228 |
|
オーストラリア (AUS) |
<customer>.aus.wxc-di.webex.com | |
メルボルン (MEL) |
178.215.128.100 |
|
シドニー (SYD) |
178.215.128.228 |
セキュリティ上の理由から、上記の DNS サーバー IP アドレスに対する ping オプションが無効になります。 |
条件付きフォワードが設定されるまで、デバイスは顧客の内部ネットワークからピアリング リンク経由で専用インスタンスに登録できません。 モバイルおよびリモート アクセス (MRA) 経由の登録については、条件付きフォワードは必要ありません。MRA の円滑化に必要な外部 DNS レコードは Cisco によって事前にプロビジョニングされます。
Webex アプリケーションを専用インスタンスの通話ソフト クライアントとして使用する場合、各地域の音声サービス ドメイン (VSD) 用の UC マネージャー プロファイル を Control Hub で構成する必要があります。 詳細については、「Cisco Webex Control Hub の UC マネージャーのプロファイル」を参照してください。 Webex アプリケーションは、エンドユーザーの介入無しに、自動的に顧客の Expressway Edge を解決できます。
サービスのアクティベーションが完了すると、パートナー アクセス ドキュメントの一部として音声サービス ドメインが顧客に提供されます。 |
リファレンス
Cisco Collaboration 12.x ソリューション リファレンス ネットワーク デザイン (SRND)、セキュリティに関するトピック: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Cisco Unified Communications Manager セキュリティ ガイド: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html